安全稽核
安全性是我們開發工作的核心。我們的程式庫已由安全專家與獨立研究人員進行稽核,報告均已公開:
Diligence - 2025 年 8 月 - mUSD 合約 報告 - mUSD M^Zero Labs 合約額外稽核:ChainSecurity、Guardian
OtterSec - 2024 年 10 月 - LavaMoat Webpack Plugin 報告
Diligence - 2024 年 10 月 - Delegation Framework 報告
Diligence - 2024 年 8 月 - Delegation Framework 報告
Diligence - 2024 年 6 月 - Delegator 報告
Cure53 - 2024 年 4 月 - Key-Tree Interface 報告
Cure53 - 2024 年 3 月 - Signing Snap 與程式碼庫報告
Least Authority - 2023 年 9 月 - Snaps 報告
Least Authority - 2023 年 9 月 - Snaps Extension Integration 報告
Cure53 - 2023 年 2 月 - Key-Tree Interface 報告
Least Authority 2022 - 助記詞實作 報告
Least Authority - 2020 年 3 月 - LavaMoat Plugin 報告
Least Authority - 2019 年 11 月 - Permissions System + CapNode 報告
Least Authority - 2019 年 4 月 - 行動應用程式 報告
Cure53 - 2017 年 8 月 - MetaMask 滲透測試 報告
MetaMask 漏洞獎勵計畫
我們透過漏洞獎勵計畫與活躍的安全研究人員社群合作,持續提升 MetaMask 的安全性。
您參與本漏洞獎勵計畫屬自願行為,並須遵守以下條款與條件。向 MetaMask 及 Consensys 回報漏洞,即表示您已閱讀並同意完全遵守本計畫所揭露的規則。
回報漏洞
若您認為已在我們的產品或服務中發現潛在的安全漏洞,請透過以下任一方式向我們回報。請勿公開提交 issue,或在 Discord、Slack、Twitter 等公開場合討論該漏洞。
若您認為發現了漏洞,可透過以下方式回報:
透過 HackerOne 平台提交報告 https://hackerone.com/metamask
若您無法使用 HackerOne,歡迎直接發送報告至 [email protected]。若您的資料較為敏感,希望在傳送前加密,請使用本頁底部的 OpenPGP 金鑰進行加密。
區塊鏈安全專家及 DeFi 社群成員若需存取我們的認證測試環境,可申請加入我們的 Consensys 計畫 https://hackerone.com/consensys。
我們將盡最大努力儘快處理所有漏洞,並與研究人員協調揭露相關發現。所有其他與安全無關的程式碼問題,請至 GitHub 提交 issue。
負責任漏洞揭露政策
我們的負責任揭露政策採用以下流程:漏洞首先以私下方式進行分類與處理,並在合理時間後才公開揭露。此流程可確保漏洞在修補完成後,使用者有足夠時間進行升級。負責任揭露政策有助於在修補程式發布前,保護專案使用者免受已公開安全漏洞的威脅。
請勿採取任何可能危及我們使用者、專案或任何專案團隊成員的惡意行為。
在我們有機會與您共同審查並處理您的發現之前,請勿在本計畫以外揭露相關內容。
遵循 HackerOne 的揭露準則。
Open PGP 金鑰
-----BEGIN PGP PUBLIC KEY BLOCK----mQINBGIm1ZABEACpbTPkgC3vtCdt5viZS1dq0J44RZm4QEXJW3yjUJNwZrRS7xv4
39KFiYDWHM6aNLkq3bcrT+grnhxXKTRGvemciT/EhIfGWQ+SJw5SKCvNN4vdfAEw
AWE2QuX4IB7Sui1xCedmxDLURQNeEYl9frKbgaMcpF4PqQaeAoJUDITFvTabR+xZ
0VyPdb5qXfInGxII5hgW+RB3ej19w4ViXKTMIe0H1C6PlHNki+x6l62hpPtDlX0Z
r5cEIOpuB6e4RtN/vStM8nD/vNILdrVkKtP1zAGecm2NPxYHjcL/SsjKsOC0/4g5
RSMXta3+3MGYqKM5ZRawfcM00x8q0VcZBQ+uezUczksaF4dUg4WiDEqWWoRp1jBS
AuYEp0dGZYL8W4ehuf8eP7PKUNRG7dludeSa5+7o+0H2YR9v5WlSxlmS7jsc+hSp
D0HuLfmZE3rQmOR1JL56bIIysoL4afFoy4one1WE9l7m/UQ3SZ2KpvNVObrpbtMF
/ynZbMtC8TKdTq2ss9n4QJlz6QyDVU++U6CElKHdbyvRGCfX7Za8J/hnG4p4yheO
K8ecpj/hdxBjPEaamvAOD5km8L/1Hj6hTGdtfwTgoiDLRmhR1I1uwAJcJJ1WQwoq
+hWnLA4j9QxwZg5aizf2zEdvXFS39Dm70Gw2ENI4uAyzUA7HyP/sBFzHWQARAQAB
tCdDb25zZW5TeXMgU2VjT3BzIDxTZWNPcHNAY29uc2Vuc3lzLm5ldD6JAlgEEwEI
AEIWIQQnr8bL8lMhOMVz4HHVNepxZ/871gUCYibVkAIbAwUJA8ObkAULCQgHAgMi
AgEGFQoJCAsCBBYCAwECHgcCF4AACgkQ1TXqcWf/O9ZDDg//b28MhJUM1yZTI53n
zHge0dV8dnmkjPoCRD1ZwCZ1j869dlHsmZDOR4caqJwXlL8kXQwhPig+ZqVMIuNV
Y+ax7jM4Lj8IrO7U4X6cr0iKOq3+aEJyIbUBJvz49CeynHeUj8iprSGYd+2WH2Yv
lkrp2lDLXtTO94WlCDog0nsywp16IRwQ42AnBeM1BiNZnuqCtqrdy5LnIwOMAcjX
ZVxKdU7iLbs2nYNPfEXp7PWdMQOqb1SOh+sYYoYoy+Z2Lbe51omtABjitSz9uVO3
W6pPp/UqmUhd044xKdKQAOlyzr7hg9Rsf8yRItrRXkg4ACl3OycXiV2MU68/LUSW
3I3w7AFNYdwBuwgJuhp1oCewWMispEfZGymlWvilz+bAOwXm8op5UOqk9mQqgitr
109B4XxxuUeFMZmlTn/g0NGhS75Iks8m9XTCGGX8WnrldNV0WPNL3m5+llNjvcZl
DHbe+DXlak82Lzq7Ok7iozStCe18HKnxqzCFjBFuUhSIgDLXKlBVbjY8cOVlsZOG
+4peTIQxZiYO9CxQ3PmDEfkkrIkaHcm/dZsZomI7TzxU4fgWhwRyYVTKYIy6km+j
dnNXy628YPHdoyRIVo8LfUlC3v4ofn4GLpM2K6PfahTue7u2N9UgLjmNrF/3bleN
PxZENYK7ZXOwSx9teFl6zQjgIau5Ag0EYibVkAEQANCRs+MK2vTPVHHBnYUORzZm
6iaHUEs8u0KyHLutrWcl88ebVDDz5QxJJk4QI1zAAwacw4BKtkbo1MY3rhRtIxSz
qguFrrzvBDiwQtuJb3UJss7r1wdzfdCphyuCtN8N0QM51JDOEo2ey+BBivl5fuSk
Dfqpkq1x1nzBOBCZ9btd6vLLnQ1DtKy0XUVkTlx7ruvODDy4NPTQ4LN6g1Mo4XJu
TBua+4zZcSGOzF4KPnQqNxQxNQwnBtOHkFx3D2hByUoLxfwtUCocashquVbVQEXC
GW9IQh1QLAvjVr7h5ZR+eiChK+rYSomdLnaAtBh4rco/RNtRiDq5ruaIthplVKGa
BvNYh4Com9TKgfL99abiVmW9US+Ex3pGQ8yHsxrbDEs7SHggMfPYxi7WOidP3nQp
1kphqbaJ02zqk1REH/LRpiujD7EII7kOU5L/FXuGilv6HWro5s4t68JIcOfix3G6
ggi9EswXrV1FV8XZ4AzjNUwMmh3UKl1h5bmESdDZ0KcUPnd8iRHTQy8qrKhvxnU6
xr5RiITs+dZ+Bvs681Tp7JnMf1dUqgRxTZcKbav7ZSGmsPsMeQECMtA8A6AJbysC
/dYvQmA9PWHlWlTDLTMJ+8asVxmbYcIbpARWqC7pPBeJuTFJjQYv3BtMhRNBjrdE
reXOfXIX6AVvjpvUqa1BABEBAAGJAjwEGAEIACYWIQQnr8bL8lMhOMVz4HHVNepx
Z/871gUCYibVkAIbDAUJA8ObkAAKCRDVNepxZ/871qpvD/94YBe42DpUsYRboZ/M
kZFDHbofR/0HCMLPyRsGRuvEtZ7oIpJmfrNyK9n2fGRnJWy/Eck8b4q4OvqtZxP6
cSf6YlZmn5gdW0fPrjU3Ia1gj4mZsPtwqYzsbMwhYKRFqG9uaM8vYUJbFPJ95XmE
UYmkDAIb7dXvNPrAKKdyerqbeRxmiwPD+5DVBzZCCRKSaEXi1I4mY8l3yVcl2GeY
3i5Gl0mg9GN4NYvdZtwVjIxVDmuBi0yXOs5XOonaH3pUhuHYteXpTkR8fWJOF51I
ppGnkkOXf3b6NIAUrIbKb8XLbzVDF4nywIuHtsV20LHkCmlWuzx9Y2CzYt/9y8dv
C2xmBxMBt+eGkTbsSnQqEtIkR4vgogYGkfFVqzAw90iZnC3vyHdw7WWjqTv6Yb5x
mrcuhaYqAq9ovEaWZED0x7EZqFG0ix7thLwZEWSYwaX/AdQwOb4RYZ+Q9yf21WAU
vTG2AIGtxDTaHBtf/w0KMKCu3kzMJxVmyB4LnRe69QAoZhdAgcHPY/n+SB9k9dY7
r/tnJu4iKmlatW7uHgNalrQseeKz4Rwb8sZvFqA5VYHuICbC9ViJU6iB0iAUuUn8
JeZpt2go+C53heb6wywBMGt6gjETYYJXaV1RXq5l3bJ//+vfg8mMB3j/6HBa8NkI
wDzGGMuReGLUCLcXCQBobi2zCQ===emGk
-----END PGP PUBLIC KEY BLOCK-----